Riesgos y Tendencias del Crimen Cibernético y su Impacto en el Sector Financiero
-
Upload
mageni-networks -
Category
Technology
-
view
3.369 -
download
2
description
Transcript of Riesgos y Tendencias del Crimen Cibernético y su Impacto en el Sector Financiero
Riesgos y Tendencias del Crimen Cibernético
Jonathan Jaquez
Chief Technical Officer Mageni Networks Optimizando su Seguridad, Gobierno, Riesgo y Cumplimiento
– En Demanda, en Tiempo y en Presupuesto
COMO OPTIMIZAR LOS RIESGOS EN LA INFORMACIÓN
© 2010 Mageni Networks | http://www.mageni.net
Perfil del expositor
Jonathan Jaquez es el co fundador de Mageni Networks, una empresa de consultoría en seguridad de sistemas y administración de riesgos en la información. Su trabajo en materia de seguridad informática ha sido reconocido por el MIT en el 2007.
Es conferencista en materia de seguridad con experiencia en pruebas de penetración, seguridad lógica, auditoría de sistemas, asesoría de riesgos para grandes y medianas empresas y en la entrega de conocimiento competitivo que ayuda a transformar la seguridad en habilitador del crecimiento e innovación de los negocios.
© 2010 Mageni Networks | http://www.mageni.net
Perfil de Mageni Networks
• Plataforma integral de administración de riesgos en la información – Modelo SaaS de subscripción flexible, evaluación de riesgos, escaneos de
vulnerabilidades y pruebas de penetración ilimitadas durante el tiempo de compromiso, tarifa fija y ajustada al presupuesto
– Metodología probada, segura para ambientes de producción, diseñada para satisfacer los requisitos de PCI DSS, COBIT, ISO 31000, 27000 y Basilea II
– Solución escalable a miles de aplicaciones y servidores sin escalar el CAPEX
• Fundada en el 2008 y de rápido crecimiento– Mageni en el 2010 comienza su expansión hacia los EEUU y en el 2012 hacia
Israel.
© 2010 Mageni Networks | http://www.mageni.net
¿Que es el crimen cibernético?
El crimen cibernético es el termino usado para enmarcar cualquier actividad ilegal que comprometa la integridad, disponibilidad, predictibilidad, seguridad, confianza y confidencialidad de un recurso tecnológico, propiedad intelectual, datos o información.
© 2010 Mageni Networks | http://www.mageni.net
La situación actual
El crimen cibernético se ha convertido en una industria que evoluciona cada día. Así como los negocios legítimos, estos empresarios del crimen ofrecen productos y servicios por una ganancia, luchan por ganar una ventaja competitiva y cuota en el mercado, y están continuamente innovando para mejorar sus ofertas y satisfacer las necesidades de sus clientes, y son afectados por las leyes de la oferta y demanda.
Fuente: RSA Business Success in a Dark Market: An Inside Look at the Fraud Underground
© 2010 Mageni Networks | http://www.mageni.net
El crimen cibernético es una industria
• Organizada
• Multinacional
• Muy, muy lucrativa
• Riesgo bajo o inexistente
• Muy bajo CAPEX
• Es vertical y de rápido crecimiento
• Fácil de operar y cada día capta nuevos mercados (victimas)
© 2010 Mageni Networks | http://www.mageni.net
El ecosistema de la industria del crimen
Infraestructura Técnica
HerramientasFast Flux Hosting
Entrega
Infraestructura Operacional
Mulas Victimizar Monetizar
Comunicación vía foro / chat
RecolectorSoporte Técnico
CajeroNegocios
MercadoVictima de Hacking
© 2010 Mageni Networks | http://www.mageni.net
Servicio al “cliente” de los criminales
• Reputación
• Garantía del producto
• Actualizaciones
• Soporte
• Marketing
• Innovadores
• CaaS (Crimeware-as-a-Service) / FaaS (Fraud-as-a-Service)
• Diversificación
“Nosotros vemos muchas señales que los criminales están imitando las practicas abrazadas por exitosos negocios legítimos para ganar ingresos y hacer crecer sus empresas”
Tom Gillis, Vice Presidente y Gerente General, Cisco Security Products
© 2010 Mageni Networks | http://www.mageni.net
La lucrativa industria del crimen cibernético
“Desde el 2004, el Crimen Organizado ha hecho mas dinero de la venta de datos que por las ventas de drogas”
Un estimado de USD 200 billones en el 2006The United Nations Office of Drugs and Crimes and the US Treasury’s Office of Technical Assistance
© 2010 Mageni Networks | http://www.mageni.net
Instituciones financieras atacadas por mes
Abr '08 May '08 Jun '08
Jul' 08 Ago' 08 Sep '08 Oct '08 Nov '08 Dec '08 Jan '09 Feb '09 Mar '09 Abr '09 Jun '090
50
100
150
200
250
215
200209
194 198
183
167
207
178
214
190 191 189 186
Fuente: RSA Fraud Report Jun’09
© 2010 Mageni Networks | http://www.mageni.net
Países mas atacados por marcas
Fuente: RSA Fraud Report Jun’09
República Dominicana3%
Africa del Sur3%
India3%
Canada3%
Italia5%
Australia7%
España7%
Inglaterra15%
Irlanda2%
Estados Unidos52%
© 2010 Mageni Networks | http://www.mageni.net
Costo estimado por incidentes
• Riesgo de la Reputación – ¿Cual seria el impacto de una brecha de seguridad? Muchas veces es
incuantificable y cada cliente afectado se convierte en un multiplicador de este efecto.
• Riesgo Financiero– Brechas causadas por incumplimiento con PCI DSS pueden recibir multas de
hasta 500,000 USD por incidente
– $20 - $90 por tarjeta de crédito que pudiera haber sido expuesta
– Costo promedio por incidente es de USD $5,000,000
• Riesgo Operacional – Visa puede imponer restricciones operacionales como
prohibir el manejo de tarjetas o datos de las mismas
© 2010 Mageni Networks | http://www.mageni.net
Fuente de las brechas de seguridad
Externas Internas Partner0%
10%
20%
30%
40%
50%
60%
70%
80%
Fuente: Verizon Business, 2009 Data Breach Investigations Report
© 2010 Mageni Networks | http://www.mageni.net
¿Que recursos son blanco de los ataques?
Fuente: Verizon Business, 2009 Data Breach Investigations Report
Recurso Clasificación % de las brechas % de records
Sistema de POS Data en Línea 32% 6%
Base de Datos Data en Línea 30% 75%
Aplicaciones Web Data en Línea 12% 19%
Servidor Web Data en Línea 10% 0.004%
File Server Data en Línea 8% 0.1%
Sistema de Kiosko Data en Línea 2% 0.4%
Active Drectory Data en Línea 2% 0.1%
Tapes Backup Data en Línea 1% 0.04%
Documentos Data en Línea 1% 0.000%
Estaciones de Trabajo Sistema de Usuario Final 8% 0.01%
Laptop Sistema de Usuario Final 4% 0.000%
Verifone Sistema de Usuario Final 2% 0.004%
© 2010 Mageni Networks | http://www.mageni.net
El impacto psicológico de una brecha
En el caso de una brecha….
3 de cada 4 clientes no usarían un servicio que ya ha sido comprometido
84% de los clientes quieren comprar en lugares que sean lideres en la seguridad
Fuente: Visa
© 2010 Mageni Networks | http://www.mageni.net
El blanco pocas veces descubre la brecha
Como fue detectada la brecha– Un tercero la detecto a causa de un fraude (55%)– Un tercero la detecto no por fraude (15%)– Descubierta por un empleado (13%)– Desempeño inusual del sistema (11%)Fuente: Verizon Business, 2009 Data Breach Investigations Report
© 2010 Mageni Networks | http://www.mageni.net
Factores que incrementan el riesgo
• Nuevas/Antiguas tecnologías (hardware & software) y aplicaciones
• Desconocimiento de la sensibilidad situacional
• Escasos profesionales de seguridad experimentados
• Poca seguridad / Poca cultura de seguridad
• Nuevos Productos
• Éxito / Globalización
© 2010 Mageni Networks | http://www.mageni.net
• La constante evolución de las amenazas– De buscar fama a buscar dinero
• Crecimiento de los negocios– El riesgo es proporcional al crecimiento
• Crecimiento acelerado de servicios y redes IP– Acelera exponencialmente el riesgo
• Rápido crecimiento de la data– La data es la nueva moneda (12 dólares por un dump*)
• Los costos de seguridad crecen 3x en relación al presupuesto– Impedimento para ejecutar los planes completamente
• Regulaciones y estándares como PCI DSS y COBIT– Dirigen las inversiones de seguridad
Avanzar se ha tornado riesgoso
* Dump es el termino undergound para data de tarjetas de crédito/debito, incluyendo números de cuenta
© 2010 Mageni Networks | http://www.mageni.net
¿Cuanto vale para un hacker las tarjetas?
• Aproximadamente 12 dólares por el “dump” de una tarjeta
• Pero los precios pueden variar– 50 USD por una Visa/Mastercard Corporativa*– 100~160 USD por una Visa/Mastercard Platino**
* Fuente: http://j.mp/ntHQb ** Fuente: Búsqueda en Google por “Credit Card Dump Pricing”
© 2010 Mageni Networks | http://www.mageni.net
Tendencias en la explotación de riesgos
Aplicaciones
Librerías de Transporte
Sistema
Operativo
Red Num
ero
de V
ulne
rabi
lidad
es
Fuente: SANS, The Top Cyber Security Risks ‘09
© 2010 Mageni Networks | http://www.mageni.net
“75% de los ataques son a las aplicaciones” - Gartner
Anatomía de la “Operación Aurora”Un sofisticado ataque contra Google, Yahoo, Symantec en diciembre’2009
Hacker
WWW DNS
Windows con IE con parchos pero
vulnerable a un zero-day
Windows con Parchos de Seguridad
Servidor con Secretos
Servidor con Secretos
El atacante pone malware en un sitio de
confianza
1
Un empleado es infectado por el malware
y recibe un troyano
2
El hacker obtiene control sobre la PC de la
victima
3
A través de exploits zero day accede a PC
protegidas
4
El hacker usa otra cuenta con privilegios de administrador para
ganar acceso a servidores con secretos
5
A traves de un canal encriptado (HTTPS)
para mitigar ser detectado el intruso extrae la data de la
empresa,
6
Fuente: SANS, The Top Cyber Security Risks ‘09
© 2010 Mageni Networks | http://www.mageni.net
¿Cómo ocurren este tipo de ataques?
• Son ataques metódicos, 100% dirigidos, con meses de planeación
• Generalmente son dos equipos de hackers: Equipo 1 se dedica a reconocimiento y penetración, equipo 2 se dedica a extraer la data
• Son profesionales disciplinados y muy bien motivados
• Previo al ataque identifican: directorios, recursos compartidos, usuarios, empleados, defensas, políticas de passwords,
• Extraen los datos sin abrir archivos para revisar el
contenido evitando levantar sospechas
• Usan técnicas para saltar mecanismos de autenticación
de dos factores © 2010 Mageni Networks | http://www.mageni.net
Para mitigar ataques como Aurora
• Infraestructura– Implemente procesos de data
loss prevention y NBAP
– Eduque a sus usuarios y empleados anualmente para responder a amenazas de este tipo
– No importa cuan sofisticada sea una penetración, esta es vulnerable en la etapa de extraer los datos de su empresa, mantenga sus routers con netflow para usarlo como herramienta forense
© 2010 Mageni Networks | http://www.mageni.net
• Usuarios– Mantenga actualizado el SO
de su computadora y componentes (PDF, IE, Etc)
– Mantenga actualizado su anti-virus y anti-spyware
– No entre a direcciones de contenido dudoso ni que le envíen personas desconocidas
– Tenga cuidado en las redes sociales y compartiendo información en línea
Operación: Get Rich or Die Tryin’
Victimas Técnicas(1) Inyección de Comandos SQL
(2) Sniffers
(3) War Driving
(4) Recursos Compartidos (Password Débiles)
(5) Malware
(6) Anti-Forenses
(7) Backdoors
(8) Ingeniería Social
Impacto225 millones de tarjetas de crédito comprometidas
TJ Maxx perdió al menos USD $200 millones
Heartland Payment Systems ha perdido USD $32 millones
© 2010 Mageni Networks | http://www.mageni.net
Anatomía de los ataques de Inyección SQLReconstrucción de la Operación “Get Rich or Die Tryin’”
Hacker
WWW
WWW BDA
BDB
El hacker inyecta comandos SQL a la BD a través de una aplicación
1
Extrae la base de datos
2Gana privilegios de SA e
Instala malware (troyanos y sniffers)
3Escala privilegios en la
red local
4
© 2010 Mageni Networks | http://www.mageni.net
Como mitigar el riesgo la inyección SQL
• Implemente la modelación de amenazas
• Valide todas las entrada de datos a las aplicaciones
• Deshabilite los stored procedures peligrosos
• No use las cuentas de administradores para una aplicación
• Realice pruebas de penetración después de cada actualización
• Los programadores deben educarse en programación segura
• Implemente un plan de respuestas a incidentes que converja con los procesos de prevención de perdidas de datos y sus políticas de NBAP
• Encripte la base de datos © 2010 Mageni Networks | http://www.mageni.net
Impacto económico de “Get rich or die Tryin”
• TJ Maxx perdió $200 millones de dólares
• Heartland Payment Systems perdió $32 millones de dólares y debe de pagar USD $59.22 millones a Visa por las tarjetas expuestas
• Las otras empresas afectadas no han divulgado datos
• ¿Cuanto dinero hacen los hackers 225 millones de tarjetas?– Cada tarjeta vale USD $12 dólares mínimo – 225,000,000 x 12 = USD $2,700,000,000– En pesos dominicanos: RD$ 97,200,000,000
© 2010 Mageni Networks | http://www.mageni.net
Los ATM’s también sufren
• En el 2009 Trustwave detecto un malware para ATM’s con Windows XP
• Los ATM’s generalmente no son actualizados y corren versiones de OS/2, Windows CE .NET o WinXP con numerosas vulnerabilidades
• Algunos ATM’s tiene servicios innecesarios (FTP, SMB, etc)
• En ocasiones, los servidores de back-end no están
en una red separada de otros servidores.
• ATM’s vulnerables pueden ser secuestrados
• Algunos ofrecen WiFi y traen puertos USB introduciendo
nuevos riesgos
© 2010 Mageni Networks | http://www.mageni.net
El ataque físico a un Banco no es inaudito
Varios hackers penetraron en el 2005 a las oficinas de SMBC en el Reino Unido como conserjes, en complicidad con el personal de seguridad e instalaron keyloggers a los empleados de Mesa de Ayuda obteniendo los password de usuarios con acceso al SWIFT (Society for Worldwide Interbank Financial Telecommunication) y transfirieron £220m (casi un cuarto de billón de dólares)
Fuente: Zdnet 17 Mar 2005
“70% de las instituciones financieras sufrieron fraudes internos causado por empleados en los últimos 12 meses” (Darksecurity, 10.05.09)
© 2010 Mageni Networks | http://www.mageni.net
Otras modalidades del crimen cibernético
Fuente: RSA Business Success in a Dark Market: An Inside Look at the Fraud Underground
© 2010 Mageni Networks | http://www.mageni.net
Todos son un blanco
© 2010 Mageni Networks | http://www.mageni.net
URLZone: Malware de Ultima Generación Análisis de un ataque real a los clientes de un banco
europeo entre agosto y septiembre del 2009.
© 2010 Mageni Networks | http://www.mageni.net
¿Que es URLZone?
• Es un bot (troyano) bancario que es implantado en las PC’s comprometidas por los hackers. .
• Algunas características de URLZone– Registra las credenciales y cuentas bancarias– Toma screnshoots del Internet Banking cuando es accedido por la victima– Roba dinero de las cuentas bancarias de las victimas– Aplica el análisis del comportamiento para evadir los sistemas anti-fraude
implementados en los bancos– Modifica el balance de las cuentas usando DOM (Document Object Model) para
evitar que la victima se de cuenta que le están robando– Registra las actividades de otras cuentas (Facebook, Gmail, Paypal)
Fuente: http://j.mp/5i1g5
© 2010 Mageni Networks | http://www.mageni.net
Como URLZone evade la detección del robo
1. Los criminales se aseguran que el balance de la victima sea positivo
2. Que el monto robado no sea muy alto
3. Establecen un monto al azar para cada transacción
4. Se aseguran que el balance que reste sea positivo
Fuente: Finjan 2009 Sept Cyberintel
© 2010 Mageni Networks | http://www.mageni.net
Screenshot del E-Banking de la victima
09:39:04 2009-08-24 GMT FJFAFJP1HAWOHNCAIN NAME=POST1 USERHOST=postbank.de USERACC=[REMOVED] USERPASS=[REMOVED] BALANS=2027.69 INET_LIMIT=15000.00 (Limite de la victima)DISPO_LIMIT=7000.00 MAXBETRAG= BLZ=60050101
TRUEAMOUNT=53,94 (Balance falso)
AMOUNT=8576,31 (Cantidad robada)%DROP_BLZ%=|LBBW/BW-BANK STUTTGART| (Banco de la mula)%DROPNAME%=|xxx xxx| (Mula)%KONTONUMMER%=|1000000001| %BLZ%=|60010070| %C1%=|Ref Num 123456| %C2%=|Ref Num 123456| %C3%=|Ref Num 123456| %C4%=|Ref Num 123456| COMMENT: Tigr EXINF= DATE: 24.08.2009
VERSN: iexplore.exe 6.0.2900.2180 (Versión de IE)IP: XX.XX.XX.XX
Fuente: Finjan 2009 Sept Cyberintel
Balance falso, en verdad el hacker
robo mas de 8,000 euros.
© 2010 Mageni Networks | http://www.mageni.net
Un análisis económico de este caso
• Desde el 11 hasta el 26 de agosto del 2009 esta banda hizo un total de 193,606 euros (RD$ 10,280,478) es decir: 12,000 euros por día (RD$ 637,200)
• Desde agosto 30 hasta el 1 de septiembre, ellos robaron 42,527 euros (RD$ 2,258,183). Ósea: 21,000 euros por día. (RD$ 1,115,100)
• En un total de 22 días hicieron 300,000 euros (RD$ 15,930,000)
• El troyano aun permanece activo….
• A ese ritmo: En un año esta banda de criminales podría hacer cerca de 5 millones de euros (RD$ 265,500,000)
• No debe haber dudas de porque el crimen cibernético hace mas dinero que la droga y es de mucho menor riesgo. Países como Ucrania han dado inmunidad diplomática a criminales de este tipo y en Rusia muchos son muy protegidos.
Fuente: Finjan 2009 Sept Cyberintel
© 2010 Mageni Networks | http://www.mageni.net
Complicaciones legales de URLZone
Fuente: Finjan 2009 Sept Cyberintel
• Realiza todas sus operaciones desde el ordenador de la victima, y no desde una localidad remota. Esto implica que tanto para el banco como para un juez, el único que ha realizado transacciones es la victima.
• URLZone cuando es detectado, activa un mecanismo de defensa para proteger la identidad de la mula, enviando dinero a cientos de cuentas de clientes legítimos que no son mulas. Muchas personas sin ser mulas podrían ser acusadas de lavado de dinero.
© 2010 Mageni Networks | http://www.mageni.net
Medidas para mitigar a URLZone
Es muy difícil detectar estos casos proactivamente y mas aun es detenerlos, es mejor prevenir que curar. Una educación proactiva a sus clientes y empleados puede darle mas resultados que invertir en costosas tecnologías que no mitigaran eficientemente este riesgo. Después de todo, el facto humano siempre es el mas débil en la seguridad.
© 2010 Mageni Networks | http://www.mageni.net
¿Y mis defensas? ¿Qué pueden hacer para mitigar estos riesgos?
¿Cómo la evaden los hackers?
© 2010 Mageni Networks | http://www.mageni.net
Las brechas de la seguridad
• El radar y ventana de efectividad de los IPS/IDS es limitado y pueden ser vencidos.
• Los antivirus poseen debilidades que posibilitan la evasión de los mismos. Ejemplo de ello es que solo 5/41 antivirus detectan hasta la fecha al troyano URLZone
• Es posible burlar los mecanismos de defensa de los firewalls por el uso de debilidades muy bien conocidas.
© 2010 Mageni Networks | http://www.mageni.net
Evaluación de riesgos
CULTURASQLi
XSS
PHISHINGVOIP
INFRAESTRUCTURA
VULNERABILIDADES LÓGICA DEL NEGOCIO
VISHING
TROYANOS BANCARIOS
SKIMMING
PHARMING
BGP HIJACKING
DNS POISONING
SPAM
DDoSPCI DSS
LEY 53-07CÓDIGO PENAL
CIBERTERRORISMO
MiTB
VIRUS EN CELULARES
REDES SOCIALES
BOTNETSSMISHING
© 2010 Mageni Networks | http://www.mageni.net
Tendencias del crimen cibernético
• Conforme los bancos implementen autenticación de dos factores se comenzaran a ver mas ataques de MiTB (Man-in-The-Browser)
• La sofisticación de los troyanos bancarios aumentaran, la probabilidad que para el 2010 seamos afectados por troyanos como URLZone es alta.
• Los ataques a los procesadores de tarjetas de créditos y bancos se incrementaran
• Los ataques dirigidos de SQLi y XSS contra aplicaciones web serán mas frecuentes
• Proliferaran las paginas de phishing en redes fast-flux
© 2010 Mageni Networks | http://www.mageni.net
Recomendaciones para optimizar el riesgo“Las organizaciones que son mas efectivas y eficientes en manejar riesgos para sus recursos actuales y futuros, van a superar aquellas que no lo son. Puesto simple, las empresas hacen dinero por tomar riesgos inteligentes y pierden dinero por fallar en manejar sus riesgos inteligentemente.” Deloitte
© 2010 Mageni Networks | http://www.mageni.net
Recomendaciones para PCI DSS
• Eduque sus usuarios y clientes en materia de seguridad. – Requisito 12.6 de PCI DSS.
• Realice pruebas de penetración a un sistema o aplicación después de cada actualización y anualmente – Requisitos 6.6, 11.1 y 11.3 de PCI DSS y DS 5.5 de COBIT.
• Implemente un plan de respuestas a incidentes alineado con su BCP y ERM. – Requisito 12.9 de PCI DSS.
• Actualice sus políticas acorde al perfil de riesgo de organización y alineadas con PCI DSS. – Requisitos12.2, 12.3 y 12.8 de PCI DSS.
• Cumplir con PCI DSS es un paso en la dirección correcta pero no erradicara los riesgos. – Heartland Payment Systems notifico que sufrió una brecha de seguridad el mismo día que recibía su acreditación de cumplimiento con PCI
• Los requisitos de PCI son muy parecidos al TG-3 para protección de los pines de las tarjetas de crédito y debito desarrollado por ANSI para la industria financiera© 2010 Mageni Networks | http://www.mageni.net
ERM (Enterprise Risk Management)Proceso PO9 de COBIT – Evaluar y administrar los riesgos de TI
Procesos y Actividades del NegocioObjetivos y Metas del Negocio
ENTERPRISE RISK MANAGEMENT
Identifica, analiza, responde y monitorea los obstáculos que pueden impedir a los procesos y actividades del negocio el lograr sus objetivos y metas .
OB
ST
ÁC
UL
OS
/RIE
SG
OS
© 2010 Mageni Networks | http://www.mageni.net
Beneficios de un ERM
• Optimizara sus riesgos tornándolos en una ventaja competitiva
• Agregara valor al negocio y al programa de seguridad
• Le ayudara a justificar el despliegue de capital
• Reducirá sorpresas operacionales y perdidas por incidentes
• Ayudara a la alta gerencia a tomar decisiones mejor informado
• Simplificara el cumplimiento con Basilea II
• Promoverá la optimización y mejora continua
• Aprovechara oportunidades de crecimiento
© 2010 Mageni Networks | http://www.mageni.net
Para conocer mas como proteger y acelerar el crecimiento de su negocio
Vis í tenos en : h t tp : / /www.magen i .ne t
© 2010 Mageni Networks | http://www.mageni.net